xxxx的个人博客
·
校园网下 Conda 的 SSL 证书错误
💡
原文中文,约8000字,阅读约需20分钟。
📝
内容提要
在校园网环境中,使用conda更新时出现SSL证书错误,因NAC系统劫持返回自签名证书。IPv4和IPv6认证机制不同,导致即使IPv4认证成功,IPv6仍可能被拦截。HTTPS通过TLS加密和证书验证确保安全,NAC无法篡改HTTPS内容,只能伪造证书,浏览器因此拒绝连接。
🎯
关键要点
- 在校园网环境中,使用conda更新时出现SSL证书错误,因NAC系统劫持返回自签名证书。
- IPv4和IPv6认证机制不同,导致即使IPv4认证成功,IPv6仍可能被拦截。
- HTTPS通过TLS加密和证书验证确保安全,NAC无法篡改HTTPS内容,只能伪造证书,浏览器因此拒绝连接。
- 现代操作系统普遍采用双栈网络架构,IPv4和IPv6被视为两个独立的网络身份。
- 校园网的认证系统对不同接入方式有不同的行为,二层接入支持IPv4/v6联动认证,三层接入则完全独立。
- HTTPS是HTTP与TLS的结合,TLS负责加密、安全和验证。
- HTTPS通信流程包括客户端请求、服务器响应、客户端验证证书和建立加密通信。
- 网站证书由权威的CA签发,包含域名、公钥、有效期等信息。
- 校园网NAC系统伪造自签名证书,导致浏览器警告并拒绝连接。
- HTTPS保护通信的机密性与可信性,证书验证服务器身份,确保数据传输安全。
❓
延伸问答
为什么在校园网使用conda时会出现SSL证书错误?
因为校园网的NAC系统劫持了请求,返回了自签名证书,导致conda无法验证证书的有效性。
校园网的IPv4和IPv6认证机制有什么不同?
IPv4和IPv6在校园网中被视为两个独立的网络身份,IPv4认证成功并不意味着IPv6也能正常使用。
HTTPS是如何确保安全连接的?
HTTPS通过TLS加密和证书验证来确保安全,TLS负责加密通信内容和验证服务器身份。
校园网的NAC系统是如何处理HTTPS流量的?
NAC无法篡改HTTPS内容,只能伪造证书,因此在证书验证失败时,浏览器会拒绝连接。
自签名证书为什么会导致浏览器拒绝连接?
因为自签名证书未由受信任的CA签发,浏览器在验证时发现不匹配,出于安全考虑拒绝连接。
如何解决校园网下conda的SSL证书错误?
确保IPv6也完成认证,或者在命令行中使用不验证证书的参数,但这会降低安全性。
➡️
